ทุกอย่างมาจากข้อกำหนดด้านความปลอดภัยการเลือกของผู้ใช้และความเสี่ยงของการลดระดับโดยนัย การปิดใช้งานฝั่งเซิร์ฟเวอร์ ciphers เก่าเป็นสิ่งที่จำเป็นอย่างยิ่งเพราะเบราว์เซอร์จะตกหลุมรักไซปาเทรชฝั่งไคลเอ็นต์ในชื่อประสบการณ์ผู้ใช้ / ความสะดวกสบายอย่างน่ากลัว การทำให้แน่ใจว่าไม่มีสิ่งใดของคุณที่ขึ้นอยู่กับช่องทางที่ปลอดภัยสำหรับผู้ใช้ที่ไม่สามารถเข้าถึงได้ด้วยวิธีการที่ไม่ปลอดภัยคือแน่นอนว่าเสียงดีมาก
ไม่อนุญาตให้ฉันปรับลดรุ่นอย่างชัดเจนเพื่อความปลอดภัย HTTP เมื่อฉันถือว่าบล็อกของคุณโพสต์เกี่ยวกับสาเหตุที่คุณชอบ Python มากกว่า Ruby (ไม่ได้บอกว่าคุณเป็นแค่ตัวอย่างทั่วไป) ไม่ใช่สิ่งที่ฉันคิดว่าเป็นเรื่องตลก ฉันเข้าถึงเป็นเพียงการได้รับในทางของฉันโดยไม่มีเหตุผลที่ดีบนสมมติฐานว่า HTTPS จะเป็นเรื่องเล็กน้อยสำหรับฉัน
มีอยู่ทุกวันนี้ระบบฝังตัวที่ไม่มีความสามารถในการใช้ TLS นอกกรอบหรือระบบที่ติดอยู่กับการใช้งานแบบเก่า (ฉันคิดว่ามันแย่มากที่เป็นเช่นนั้น อุปกรณ์ที่นี่] บางครั้งฉันไม่สามารถเปลี่ยนแปลงได้)
นี่คือการทดลองที่สนุก: ลองดาวน์โหลด LibreSSL เวอร์ชันล่าสุดจากไซต์ OpenBSD อัปสตรีมผ่าน HTTPS ด้วยการใช้ TLS / SSL แบบเก่าอย่างเพียงพอ คุณจะไม่สามารถ ฉันลองอีกวันหนึ่งบนอุปกรณ์ที่มีรุ่นเก่าของ OpenSSL ตั้งแต่ปี 2012 เพราะฉันต้องการอัพเกรดระบบฝังตัวนี้เป็นสิ่งใหม่ที่ปลอดภัยยิ่งขึ้นจากแหล่งที่มา - ฉันไม่มีแพ็คเกจหรูหราที่สร้างไว้ล่วงหน้า ข้อความแสดงข้อผิดพลาดเมื่อฉันพยายามไม่เข้าใจง่าย แต่ฉันคิดว่าเป็นเพราะ OpenSSL รุ่นเก่าของฉันไม่รองรับสิ่งที่ถูกต้อง
นี่คือตัวอย่างหนึ่งที่การย้าย HTTPS เพียงอย่างเดียวสามารถทำให้ผู้คนเสียหายได้จริง: ถ้าคุณไม่มีแพ็คเกจหรูหราที่สร้างไว้แล้วและต้องการแก้ไขปัญหาด้วยตัวคุณเองโดยการสร้างจากแหล่งที่มาคุณจะถูกล็อค โชคดีที่ในกรณี LibreSSL คุณสามารถถอยกลับเพื่อขอ HTTP อย่างชัดเจน แน่นอนว่าสิ่งนี้จะไม่บันทึกคุณจากผู้โจมตีที่เขียนทราฟฟิกของคุณใหม่สามารถแทนที่แพ็คเกจต้นทางด้วยเวอร์ชันที่ถูกบุกรุกและเขียน checksums ทั้งหมดในเนื้อหา HTTP ที่อธิบายแพคเกจที่มีให้ดาวน์โหลดบนเว็บเพจที่คุณเรียกดู กรณีทั่วไปมากขึ้น
พวกเราส่วนใหญ่ไม่ใช่คนที่ไม่มีหลักประกันดาวน์โหลดจากการเป็นเจ้าของโดย APT (Advanced Persistent Thread: ศัพท์แสงด้านความปลอดภัยสำหรับหน่วยข่าวกรองแห่งชาติและภัยคุกคามทางไซเบอร์อื่น ๆ ที่มีทรัพยากรสูงมาก) บางครั้งฉันต้องการwget
เอกสารข้อความธรรมดาหรือโปรแกรมขนาดเล็กที่มีแหล่งที่มาฉันสามารถตรวจสอบได้อย่างรวดเร็ว (เช่นอรรถประโยชน์ / สคริปต์เล็ก ๆ ของฉันใน GitHub เป็นต้น) ไปยังกล่องที่ไม่รองรับชุดรหัสล่าสุด
โดยส่วนตัวแล้วฉันถามสิ่งนี้: เนื้อหาของคุณเป็นแบบที่คน ๆ หนึ่งสามารถตัดสินใจได้ถูกต้องตามกฎหมายหรือไม่ "ฉันโอเคกับฉันที่จะเข้าถึงความรู้สาธารณะ" มีโอกาสที่จะเกิดความเสี่ยงจริงกับคนที่ไม่ใช่ด้านเทคนิคโดยการลดระดับลงเป็น HTTP สำหรับเนื้อหาของคุณหรือไม่ น้ำหนักข้อกำหนดด้านความปลอดภัยข้อกำหนดความเป็นส่วนตัวสำหรับผู้ใช้ของคุณและความเสี่ยงของการลดระดับโดยนัยต่อความสามารถของผู้ใช้ที่เข้าใจความเสี่ยงทำให้เป็นทางเลือกที่ได้รับการบอกกล่าวเป็นกรณี ๆ ไปเพื่อไม่ปลอดภัย เป็นเรื่องถูกต้องตามกฎหมายที่จะกล่าวว่าสำหรับเว็บไซต์ของคุณไม่มีเหตุผลที่ดีที่จะไม่บังคับใช้ HTTPS แต่ฉันคิดว่ามันยุติธรรมที่จะกล่าวว่ายังมีกรณีการใช้งานที่ดีสำหรับ HTTP ธรรมดาอยู่ที่นั่น